Einführung in digitale Zertifikate

Ein digitales Zertifikat ist Teil eines kryptografisch gesicherten Verfahrens mit dessen Hilfe sich der Besitzer des Zertifikats identifizieren kann. Mit Zertifikaten kann man zum Beispiel E-Mails unterschreiben oder sich auf Portalen einloggen - vorausgesetzt das E-Mail-Programm bzw. Portal unterstützt Zertifikate.

Digitale Zertifikate bestehen aus einem öffentlichen und einem privaten Teil. Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, digitale Signaturen zu erzeugen, sich zu authentisieren oder für ihn verschlüsselte Daten zu entschlüsseln. Oft wird der öffentliche Schlüssel nach seiner Erstellung veröffentlicht, zum Beispiel auf einem Key-Server. In vielen Fällen ist es jedoch auch ausreichend, wenn man die öffentlichen Schlüssel (die Zertifikate) mittels signierter E-Mails austauscht. Denn einer signierten E-Mail liegt in der Regel das Zertifikat des Senders bei, so dass der Empfänger bequem die Signatur prüfen kann.

Da sich jeder selbst Schlüsselpaare mit fast beliebigem Inhalt erzeugen kann, wird eine weitere Komponente benötigt, um die Identität des Schlüsselbesitzers abschließend sicherzustellen. Hierzu wird der öffentliche Schlüssel des Nutzers von einer Zertifizierungsstelle (CA - Certificate Authority) unterschrieben. Vor der Unterschrift überprüft die zugehörige Registration Authority (RA) die Identität des Nutzers, zum Beispiel anhand des Personalausweises. Durch die digitale Unterschrift de CA wird aus dem öffentlichen Schlüssel das signierte Zertifikat.

Die Unterschrift der CA kann in der gleichen Weise mittels des öffentlichen Schlüssels der CA geprüft werden. Die Echtheit der CA selbst wird wieder durch eine Unterschrift der nächst höheren Zertifizierungsinstanz sichergestellt. Dies setzt sich solange fort, bis man an der obersten Stelle das sogenannte Wurzelzertifikat (Root-Zertifikat) erreicht hat. Wenn man nun dem Anbieter des Wurzelzertifikats und der Zertifikatskette vertraut, dann kann man eine Person eindeutig identifizieren, selbst wenn diese nicht persönlich bekannt ist. Die so entstandene Zertifikatskette wird auch als "Chain of Trust" bezeichnet. Der verbleibende entscheidende Punkt ist, dass das Wurzelzertifikat selbst in den meisten E-Mail Programmen und Webbrowsern bereits zum Installationszeitpunkt vorhanden ist und ihm vertraut wird. Somit kann die Prüfung der Zertifikatskette völlig ohne Zutun der beteiligten Kommunikationspartner stattfinden.

Schutz des privaten Schlüssels

Wenn nun jemand in den Besitz Ihres privaten Schlüssels gelangt, kann er in Ihrem Namen E-Mails schreiben oder sich auf Portalen und Servern in Ihren Account einloggen. Daher ist es entscheidend, dass Sie den privaten Teil Ihres Schlüssel möglichst gut schützen.

Zum einen sollten Sie eine gutes Passwort für Ihren Keystore (Zertifikatspeicher) verwenden. Der Keystore ist der Ort, an dem Ihr Schlüssel lokal gespeichert ist, zum Beispiel in Ihrem E-Mail Programm. Ohne das Passwort kann niemand den privaten Schlüssel aus dem Keystore entnehmen.

Zum anderen sollten Sie Ihren privaten Schlüssel nur an sicheren Orten speichern - z.B. auf einem nur Ihnen zugänglichen USB-Stick oder besser noch auf einem Crypto-Stick. Öffentlich zugängliche Home-Verzeichnisse, z.B. Unix NFS- oder Windows Active-Directory-Server, sind kein guter Ort zum Speichern des Zertifikats. Leider ist es jedoch in der Praxis manchmal nicht vermeidbar, den privaten Schlüssel an einem weniger sicheren Ort zu speichern. Wenn Sie zum Beispiel den Thunderbird-Keystore auf den Arbeitsplatzrechner in den Pool-Räumen verwenden, dann landen die Schlüssel automatisch in dem NFS-Homeverzeichnis (Linux Pools) oder auf dem Active-Directory-Server (Windows Pools). Um so mehr ist es dann wichtig, dass Sie den Keystore mit einem vernünftigen Passwort absichern.

Sollte trotz aller Vorsichtsmaßnahmen Ihr Zertifikat kompromittiert werden, können Sie Ihr Zertifikat zurückrufen. Dies geschieht in der Regel dort, wo Sie das Zertifikat auch beantragt haben. Die so deaktivierten Zertifikate werden in sogenannten "Certificate Revocation Lists" (CRLs) durch die Zertifizierungsstellen bekannt gegeben. Alle ordentlich konfigurierten Systeme (E-Mail-Programme, Portal-Server, Login-Server) berücksichtigen bei der Überprüfung von Zertifikaten die Einträge der CRLs.

Wenn Sie Ihren privaten Schlüssel verlieren bzw. wenn Sie Ihr Keystore-Passwort vergessen, dann führt das zwingend zum Verlust aller mit Ihrem öffentlichen Zertifikat verschlüsselter Dateien und E-Mails. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12 Format mit Endung .p12) erstellen und an einem sicheren Ort lagern.

Kommunikations- und Informationszentrum (kiz)

Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr

Freitag
09:00 - 12:00 Uhr

Telefon
+49 (0) 731 / 50 - 30000

Telefax
+49 (0) 731 / 50 - 1230000

Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]

An den Service-Points können Sie uns persönlich aufsuchen.

[mehr]

Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

IDM Self Services
[mehr]

Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:

Bibliothekskatalog::lokal

Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

A-Z-Liste